neue NAS - Zugriffsmöglichkeiten von aussen

Es gibt 40 Antworten in diesem Thema, welches 5.061 mal aufgerufen wurde. Der letzte Beitrag () ist von Ronny1978.

  • Hallo zusammen,


    ich habe mir nun eine Synology DS224+ gekauft, die alte 216play war nur als Surveillance Station für meine 3 Kameras konfiguriert.

    Zugriff von extern hatte ich ausschließlich über den lahmen QuikConnect Dienst von Synology und über einen DDNS Eintrag (no-ip) den ich in der DSM konfiguriert hatte.


    Jetzt überlege ich mir wie ich künftig von aussen auf die DS zugreifen soll, ich möchte:


    - Mittels DS CAM App auf meine Cams zugreifen

    - Die Fotos vom iPhone meiner Frau + meines Pixel 8 sollten autom in der PhotoStation landen (aktuell funktioniert das noch über den CloudSync Dienst über mein noch aktives Google Ono Abo)


    Mittlerweile hab ich auch eine fixe IP von meinem ISP bekommen (250MBit Up/Down)



    - Würdet ihr hier Zugriff über VPN empfehlen? (Wireguard)


    Falls nicht und ich über meine no-ip Adresse zugreife (muss ich ja nutzen da ich sonst kein LE Zertifikat bekomme)


    - Muss der DDNS Eintrag in der Unifi Oberfläche gemacht werden oder aber in der DSM?



    Danke im Voraus :smiling_face:

    HW aktuell: GF (250/250) incl fixer IPv4 by KraftCom, UDM Pro, TP Link TL-SG1024, 2x UAP LR, 2x UAP Lite, DS224+, DS216J (Backup), Google Pixel 8 - iPhone 13pro - iPad Air3


  • Hallo roddick84 ,


    angesichts der wirklich massiv vielen Sicherheitsprobleme von Synology in den letzten Jahren kann ich Dir nur raten, das NAS in keiner Form direkt aus dem Internet erreichbar zu machen.

    Zugriff über VPN ist das Mittel der Wahl. Alles, was Du innerhalb Deines Netzes tun kannst, kannst Du via VPN dann natürlich auch von außen.

    Und ja, Wireguard ist das aktuell leistungsfähigste Protokoll.


    DDNS brauchst Du durch die feste IP-Adresse dann ja gar nicht mehr.

  • Networker - danke erstmal für die Infos :smiling_face:


    Okay, dann muss ich Wireguard auf der UDM-Pro einrichten, aber was konfiguriere ich dann noch auf der DS?

    Die Anleitung hier im Forumswiki ist nicht für die UDM-Pro - gibts da ev. auch was?


    @DDNS: Wenn ich meine statische IP nutze bekomm ich ja kein LE Zertifikat?

    HW aktuell: GF (250/250) incl fixer IPv4 by KraftCom, UDM Pro, TP Link TL-SG1024, 2x UAP LR, 2x UAP Lite, DS224+, DS216J (Backup), Google Pixel 8 - iPhone 13pro - iPad Air3


    Einmal editiert, zuletzt von roddick84 ()

  • Ich kann Dir nichts im Einzelnen zur Konfiguration des NAS raten. In wieweit man einen automatischen Foto-Upload eines iPhones über VPN realisieren kann, weiß ich nicht.

    Die Einrichtung für VPN funktioniert auf allen Unifi-Routern identisch, Du brauchst also keine spezifische Anleitung.

    Auf dem NAS wird in Sachen VPN überhaupt nichts konfiguriert.


    Wofür meinst Du, LE-Zertifikate zu benötigen? In einem privat genutzten internen Netz sind Zertifikate nice to have, aber nicht obligatorisch.

  • also simpel gesagt musst du am NAS nix machen weil du es ja via VPN eigentlich "lokal" ansprichst.

    Zertifikat oder DynDNS benötigst du auch nicht da du an deinem Router die fixe IP angeben kannst.
    Somit sparst du dir auch irgendwelche Portfreigaben, da du via VPN für die Geräte eigentlich immer im lokalen Netz
    zu sein scheinst.

  • Danke für eure Inputs und Antworten 🙏


    ich werde mich heute Abend mal dransetzen und versuchen Wireguard an meiner UDM-Pro nach dieser Anleitung zu konfigurieren:


    HW aktuell: GF (250/250) incl fixer IPv4 by KraftCom, UDM Pro, TP Link TL-SG1024, 2x UAP LR, 2x UAP Lite, DS224+, DS216J (Backup), Google Pixel 8 - iPhone 13pro - iPad Air3


  • grad mit fixer IP ist das echt nicht schwer einzurichten.

    hab sogar ich als interessierter Laie geschafft beim ersten Versuch. und im Verhältnis zum L2TP (oder wie das heißt) und dem Umweg über WifiMan (Teleport) sogar richtig schnell beim Verbinden.

  • - Mittels DS CAM App auf meine Cams zugreifen

    Wenn du per VPN verbunden bist funktioniert dies wie im WLAN


    - Die Fotos vom iPhone meiner Frau + meines Pixel 8 sollten autom in der PhotoStation landen (aktuell funktioniert das noch über den CloudSync Dienst über mein noch aktives Google Ono Abo)

    Das ist ein Problem, aber ein gewolltes Problem von und mit Google und Apple. Die wollen nicht, dass so etwas funktioniert.
    Bei QNAP gibt es eine App für Android und Apple, die von dir gewählte Handy-Ordner im Hintergrund sync. Hat Synology sicher auch.

    Das Ganze über WireGuard.


    Und WireGuard läuft ganz simpel, nutze die App WiFiman von UNIFI.

  • okay, das ging easy...


    habs wie hier im Video beschrieben gemacht:


    Einzig der Import der .config hakte zu Beginn noch etwas - musste die Datei umbenennen..


    VPN ist an meinem Pixel 9 aktiv über die Wireguard App und jetzt stellen sich mir eigentlich nur mehr 2 Fragen:

    • Ich erhalte immer die Meldung "nicht vertrauenswürdige Verbindung" wenn ich mich bei meinen DS Apps an der NAS anmelde - kann dies aber mit "Fortfahren" wegklicken, wie würdet ihr hier vorgehen? Ignorieren?
    • Spricht etwas dagegen diese VPN-Verbindung nun dauerhaft aktiv zu lassen? Wie siehts aus wenn ich z.b. in der Arbeit in einem Gäste-WLAN bin?

    HW aktuell: GF (250/250) incl fixer IPv4 by KraftCom, UDM Pro, TP Link TL-SG1024, 2x UAP LR, 2x UAP Lite, DS224+, DS216J (Backup), Google Pixel 8 - iPhone 13pro - iPad Air3


  • Die VPN kannst auch an lassen. Solange Akku hält. Ich benutze "wg tunnel" aufm Android. Da kannste noch paar Dinge Einstellen und dann wird Tunnel z.B. Zuhause automaisch deaktiviert.


    Probier es aus in anderen WLANs. Entweder es geht oder eben nicht, falls ausgehend dort ausgerechnet dein wg Port gesperrt ist.


    Die Meldung kommt, weil kein gültiges Zertifikat auf dem nas ist, kannst Du also ignorieren.

  • angesichts der wirklich massiv vielen Sicherheitsprobleme von Synology in den letzten Jahren kann ich Dir nur raten, das NAS in keiner Form direkt aus dem Internet erreichbar zu machen

    Das kann ich so nicht unterstreichen. Es gibt genauso große Angriffe auf QNAP wie auf Synology. Die Angriffe finden - erfolgreich - statt, weil sich einfach nicht an die Empfehlungen von Synology gehalten wird. Die sicherste Verbindung ist und bleibt - zweifelsohne - die VPN. ABER den VPN Dienst direkt auf den Router und nicht auf der Synology. Ich nutze seit Jahren den Zugang von Außen über die DynDNS von Synology selbst - im Zusammenhang mit einer OpnSense, welche mir noch ein paar zusätzlich Features zum Absichern des Netzwerkes bietet.


    Man kann sowohl Quickconnect und die etwas schnellere Variante mit xxx.synology.me nutzen. Ja, die Adressen werden häufig gescannt und ggf. angegriffen. Daher folgende Empfehlung, welche natürlich auch überall nachzulesen sind:

    • Standard-Ports ändern!!! Nicht die Standard-Ports von Synology nutzen, sondern in den 5-stelligen Bereich verlegen.
    • Admin-Account in der Synology deaktivieren und einen neuen Admin-Account anlegen.
    • Möglichst ALLE Nutzer zu 2FA mit Hilfe von OTP oder besser Hardwareschlüssel (Yubikey) "verdonnern".
    • Passwörter entsprechend lang wählen!!! Evtl. mit Hilfe von Passwortmanagern (wie z.B. Keepass).
    • Ggf. einen Reverse Proxy nutzen, um keine Ports in der Firewall freizugeben.
    • Synology Firewall einschalten für gewissen Regionen blockieren -> ja, kein 100%iger Schutz, weiß ich auch :winking_face: .
    • Auf dem Router Geo IP Blockierung aktivieren, sofern möglich.
    • So wenig wie möglich Ports auf der Firewall freigeben.
    • Autoblock und Kontoschutz in der Synology aktivieren und so stark wie möglich einstellen.
    • Zugriffsrechte entsprechend sinnvoll und minimal wählen. Nur gewähren, was auch nötig und nicht was möglich ist.

    Solange man dies berücksichtigt, ist zumindest ein guter Grundschutz gewährleistet. Ich lebe seit 5 Jahren damit und habe meine Familie von extern eingebunden. Bisher ohne jegliche Problem. Wie gesagt, habe ich eine OpnSense, wo ebenfalls ein Reverse Proxy mit Let'sEncrypt-Zertifikaten, GeoIP Block und CrowdSec installiert ist. Wireguard nutze ich aber auch. :winking_face:

    Hat Synology sicher auch

    Ja: Nennt sich Synology Photos und funktioniert einwandfrei. Mein Onkel sichert so seine Fotos bei mir auf dem NAS - OHNE Google. Und er kann damit die Fotos und Video auch auf seinem Google TV anschauen - von EXTERN. :winking_face:

  • Das kann ich so nicht unterstreichen.

    Dafür kann ich es Dir doppelt unterstreichen. :winking_face:


    Whataboutisms á la "ja aber QNAP..." sind nicht dazu geeignet, sich sinnvoll mit IT zu beschäftigen und sie sind auch kein gültiges Argument für irgendetwas.

    Ja, QNAP ist auch unsicher. Meinetwegen sogar noch unsicherer. Aber was hilft diese Erkenntnis dem Synology-Nutzer, wenn er Ransomware zum Opfer fällt?


    Für Synology gibt es 29 CVE-Einträge alleine seit 2023. Die allermeisten davon mit hohem oder sogar kritischem Risiko.

    Das eigene System nach den Sicherheitsempfehlungen des Herstellers zu härten ist richtig und wichtig, aber gegen schlampig programmierte Firmware und Apps hilft es leider gar nicht.


    Ich bleibe also dabei: NAS-Systeme - egal von welchem Hersteller - hängt man einfach nicht direkt ans Internet. Wer es aus reiner Bequemlichkeit doch tut, verdient einfach kein Mitleid.

  • dann wird sich meine Frau mit langen Ladezeiten der DSCam App abfinden müssen (aufgrund QC).

    Das ein und ausschalten von Wireguard an ihrem iPhone wird nicht funktioneren.. :winking_face: (Das vergisst sie viel zu oft)

    HW aktuell: GF (250/250) incl fixer IPv4 by KraftCom, UDM Pro, TP Link TL-SG1024, 2x UAP LR, 2x UAP Lite, DS224+, DS216J (Backup), Google Pixel 8 - iPhone 13pro - iPad Air3


  • Das ein und ausschalten von Wireguard an ihrem iPhone wird nicht funktioneren.. :winking_face: (Das vergisst sie viel zu oft)

    Kann ich nachvollziehen. :winking_face:

    Dann wäre dies Dein passendes Geschenk für sie zum nächsten Hochzeitstag.

    Kannst du uns denn noch sachdienliche Hinweise geben, die den Spagat zwischen Security und Usability schaffen und dem TE helfen?

    kann Dir nichts im Einzelnen zur Konfiguration des NAS raten

    Foto-Upload eines iPhones über VPN realisieren kann, weiß ich nicht

    Du brauchst also keine spezifische Anleitung

    Ich finde sowas immer schade. Wenn jemand Fachwissen hat und sich in einem Forum beteiligt, dann wäre es schön, anderen Nutzern nicht bloß zu erklären, wie es nicht geht und mit CVEs zu "winken", sondern auch dem TE und anderen Hinweise und Möglichkeiten aufzuzeigen, WIE ES (BESSER) GEHT. Danke für die Seite mit den CVE. Bitte auch dazu sagen, dass viele Lücken von Synology auch nur bestimmte Apps oder den Router von Synology betreffen und nicht das DSM selbst. Und auch bitte erwähnen, dass auch viele Lücken bereits gepatcht wurden.


    Ich will nicht in Abrede stellen, dass eine VPN eine sehr sichere Variante ist. Aber auch hier muss man wissen was man tut. UND AUCH HIER sind SACHDIENLICHE Hinweise schön, wie zum Beispiel, dass VPN immer auf den Router gehört und nicht auf die Diskstation von Synology hinter dem Router, auch wenn DSM die Möglichkeit bietet. Vielleicht kannst du ja noch einmal aus fachlicher Sicht erklären, warum das so gemacht werden sollte. Jedes Fachwissen bringt hier alle Nutzer weiter.


    Und wie gesagt: Auch mal Lösungen aufzeigen, wie es ohne VPN auch sicher geht. Nicht immer ist VPN möglich bzw. nicht immer ist die Usability bei den Nutzern auch gegeben. Wie sicherst du denn dein Heimnetz ab? Was für Dienste hast du, die du von außen erreichen willst/kannst?


    Networker : Danke für deine Hinweise

  • also ich habe ebenfalls eine Synology und Ubiquiti in Form einer UDM-Pro als Basis.


    Ich nutze mein VPN eigentlich nur, um gewisse Geräte extern bedienen zu können wie z.B. meine Heizung, etc.

    Für mein NAS nehme ich der Einfachheit für die mobilen Geräte die DynDNS von Synology.


    Um es so sicher wie möglich zu machen:

    • ist mein Port für DS-file 5stellig (Standard ist nur 4stellig)
    • der User Admin ist deaktiviert
    • Login-Versuche sind auf max. 3 Fehlversuche eingestellt und danach wird der User für 999 Tage oder so gesperrt.
    • die Firewall auf der Synology wurde ebenfalls so "hart" wie möglich eingestellt um die größtmögliche Sicherheit zu gewährleisten

    Bislang - und da klopf ich mal auf Holz - ist mir seit ich den Port 5stellig habe kein Fehlversuch gemeldet worden.
    Habe das laienhaft in den Jahren meines Lebens gelernt. Hatte erst noch admin und Standardport und da gabs viele Fehlversuchmeldungen nach 1-2 Jahren der Nutzung.
    Dann durch Recherche den Admin deaktiviert und Port geändert etc.
    Also bei mir waren die oberen Punkte ein schleichender, über Jahre andauernder Prozess. :grinning_squinting_face:

    Mir hat da aber damals der Youtube-Kanal "idomix" auf youtube oft gute Dienste geleistet bei der Einrichtung von Synolgy und Ubiquiti. Er hat mich auch erst auf Ubiquiti gebracht.

    2 Mal editiert, zuletzt von franzbertbua ()

  • Danke nochmals für eure Inputs :smiling_face:


    Ein Problem was ich noch mit dem dauerhaft aktivierten VPN habe ist die Tastache das Android Auto nicht mehr funktioniert - das ist auch etwas ungünstig, da es aber nur mich selbst betrifft kann ich damit leben..


    Vielleicht nochmal kurz zusammengefasst wo ich jetzt stehe und wo ich hin möchte..


    Seitdem ich die neue DS habe, hab ich folgendes gemacht:

    • der DS hab ich eine fixe IP gegeben
    • QC und Wireguard eingerichtet (für WG nutze ich nun auch die "WG Tunnel" App

    Was möchte ich noch:

    • die Surveillance Station und Synology Photos sollte easy von aussen zu erreichen sein (ohne VPN)

    Nach den ganzen Tipps von euch wäre das nun mein Plan:

    • Am Firmen-PC muss ich wohl weiterhin QC nutzen - hier sind die meisten Ports gesperrt, gleiches gilt für das Smartphone im Firmen Gäste-WLAN.
    • Wireguard würde ich (genau wie franzbertbua) auch nur dafür nutzen um gewisse Geräte extern bedienen zu können
    • die beiden Ports für die DSM (5000, 5001) ändern auf einen beliebigen 5stelligen Port
    • die beiden Ports für die DS File (7000, 7001) ändern auf einen beliebigen 5stelligen Port
    • der User "admin" ist bereits deaktiviert
    • die Firewall hab ich an der DSM aktiviert mit den Standardsettings
    • Anmeldeversuche hab ich auf max. 3 Fehlversuche eingestellt (User ist dann 365 Tage gesperrt)

    Ich habe mir nun eine DDNS Eintrag erstellt auf der DS (xxxxx.i234.me).. - und nicht in der Unifi Oberfläche (hier kann ich Synology auch nicht als DDNS Dienst auswählen.

    Da ich eine fixe IPV4 Adresse von meinem ISP habe, benötige ich diese DDNS ausschliesslich für das LE Zertifikat so wie ich das verstanden habe..


    Nun müsste ich im letzten Schritt nur mehr die 4 geänderten Ports der DS File + Synology Photos auf der UDM-Pro freigeben und ich wäre am Ziel oder?

    HW aktuell: GF (250/250) incl fixer IPv4 by KraftCom, UDM Pro, TP Link TL-SG1024, 2x UAP LR, 2x UAP Lite, DS224+, DS216J (Backup), Google Pixel 8 - iPhone 13pro - iPad Air3


  • Klingt soweit korrekt.

    Einzig den DS-File Port musst du nicht zwingend freigeben. Du kommst auch über das DSM zu DS-File wenn du per Webbrowser zugreifen willst.
    und die DS-File App kommt auch mit dem DSM-Port klar. Der DS-File Port lässt dich einfach im Browser direkt DS-File öffnen. Somit sparst du dir einen freigegebenen Port.

    Denn der DSM Port ist quasi der Generalschlüssel für die Apps etc.

    Außerdem würd ich nur den https Port (also verschlüsselt) freigeben und in der Synology einstellen, dass alle http Anfragen direkt auf https weitergeleitet werden.

  • franzbertbua: Hab das nun genauso gemacht :smiling_face:


    Allerdings ist mir aufgefallen das ich bei Zugriff von extern auf meine Synology DDNS (xxxxxx.i234.me, ohne Portangabe) direkt auf die Unifi Oberfläche komme 🤔


    Ich kann mir das nicht so recht erklären, hab ausschliesslich den Port xxxxx geöffnet in der UDM.

    HW aktuell: GF (250/250) incl fixer IPv4 by KraftCom, UDM Pro, TP Link TL-SG1024, 2x UAP LR, 2x UAP Lite, DS224+, DS216J (Backup), Google Pixel 8 - iPhone 13pro - iPad Air3